"баг" dst-nat с 443 порту на микротике?

Question

[noob80]

я возможно просто очень тупой (я когда-то забыл маскарадинг тот же в микроте прописать) но я не понимаю что случается когда я указываю в микротике
NAT > chain - dst-nat, protocol - tcp, dst.port - 443, to addresses 192.168.88.254
т.е по сути стандартный проброс порта.
но после активации вот этого что выше у меня ВЕЗДЕ на всём перестают работать сайты.
что на первом что на втором компе и даже на убогом huawei.
путём изучения wireshark увидел что устройства просто не получают ОТВЕТА от ресурсов которые работают на 443 порту... что это? ибо мои полномочия на этом всё.

Answer 1

[Юрий MikroTik]

Не баг, а нужно указать какой интерфейс провайдера или внешний IP слушаешь в DSTNAT.

Comments

[Артём]

noob80 проще говоря, заполнить значение для атрибута In. Interface

[noob80]

если я указываю просто... "in interface" (eth1 ибо пров в eth1 воткнут) то инет больше не ломается но и комп из инета не виден... хм...
я могу прописать просто dst.address на текущий внешний "белый" айпишник и тогда ничего не ломается и комп виден.
но дело в том что подключение pppoe и адрес динамический (да, именно что белый динамический айпишник).
выходит что ничего иного кроме как каждый раз прописывать вручную новый айпишник не сделать? :D

[Юрий MikroTik]

noob80, подозреваю тебе нужен hairpin nat
Так как ты изнутри пытаешься попасть внутрь.

Answer 2

[Drno]

Ну т.к. неуказан интерфейс \ внешний IP с которого пробрасывать, микрот ВСЕ запросы на 443й порт отправляет на тот ПК)

Answer 3

[Gansterito]

Нужно уточнить, сузить правила срабатывания, сейчас они работают для всего трафика на 443 порт TCP. А именно: указать IP-адрес самого mikrotik-а, или интерфейс входа трафика.

Answer 4

[AlexVWill]

В NAT надо по другому правило указать:

add action=dst-nat chain=dstnat comment="WebServer" dst-port=443 protocol=tcp to-addresses=192.168.88.254 to-ports=443

для того, чтобы открыть порт 443 к какому то Web серверу внутри сети по адресу 192.168.88.254

Comments

[noob80]

я вот кстати так пробовал. (to ports) оно либо сломанно либо работает тоже по какой-то логике другой.
т.е если прописать "to ports 443" то все https ломаются так же если не прописать в dst внешний адрес. но внешний адрес я могу и без "to ports" прописать.

[AlexVWill]

noob80, то, что я написал, это стандартная инструкция, проверяй тогда ещё раз, нет ли каких то правил для 443 выше (правила выполняются сверху вниз по очереди), работает ли сервер и нет ли каких иных ограничений...
Кстати, что с сертификатом?